알아서 ‘척척’ AI 에이전트 늘자… 보안업계, 통제 해법 찾는다

정종길 기자 2026. 5. 28. 06:00
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
프롬프트·API·권한·로그까지 관리 대상 확대
팔로알토·프루프포인트 등 에이전트 보안 경쟁
기업의 인공지능(AI) 활용이 문답 기반 챗봇을 넘어 AI 에이전트(AI Agent) 기반 업무 자동화로 확장되면서 사이버 보안 업계도 새로운 관리 체계를 제시하고 있다. AI가 답변을 생성하는 데 그치지 않고, 스스로 파일을 읽고 업무 도구를 호출하며 개인 PC와 기업 시스템 안에서 작업을 수행하기 시작했기 때문이다. 이제 기업은 AI가 무슨 말을 하는지만 볼 것이 아니라, 어떤 권한으로 어떤 행동을 하는지도 확인해야 한다.

AI 에이전트가 기업 업무 속으로 들어오면서 통제와 감시가 숙제로 떠올랐다. / 챗GPT 생성

AI 에이전트가 기업 업무 속으로 들어오면서 통제와 감시가 숙제로 떠올랐다. / 챗GPT 생성

AI 에이전트는 사용자의 지시를 받아 여러 단계를 스스로 판단하고 실행하는 프로그램이다. 예컨대 문서를 찾고, 메일 초안을 만들고, 사내 시스템에서 필요한 정보를 조회하고, 외부 애플리케이션과 연동해 작업을 처리한다. 이는 생산성 측면에서는 매력적이지만, 보안 관점에서는 새로운 관리 대상이 생겼다는 점에서 문제가 된다. 이제 사람이 아닌 AI가 계정과 권한을 갖고 움직일 때 그 행동을 어디까지 허용하고 어떻게 감시할지가 기업의 숙제로 떠오르고 있다.

애플리케이션 전송 및 보안 전문 기업 F5는 최근 발표한 '2026 애플리케이션 전략 현황(State of Application Strategy·SOAS)' 보고서에서 AI가 실험 단계를 넘어 실제 운영 환경으로 들어왔다고 분석했다. 이러한 추세는 국내 역시 마찬가지다. 보고서에 따르면 국내 기업의 55%가 이미 AI 추론 워크로드를 운영하고 있다. 이런 가운데 국내 기업의 56%는 AI 워크로드의 높은 비용을 주요 과제로 꼽았고, 51%는 에이전트ID(Agent Identities)의 급격한 증가에 따른 문제를 예상했다. AI가 실제 업무 시스템 안에서 돌아가기 시작하면서 토큰 비용만큼이나 큰 문제로 인식하고 있는 것이 프롬프트나 API 계층 등에 대한 보안 문제다.

이형욱 F5코리아 지사장은 "AI는 실험 단계를 넘어 실제 운영의 영역으로 들어왔다"며 "이제 기업의 고민은 AI를 도입할지 여부가 아니라, 이를 얼마나 안정적이고 안전하게, 또 대규모로 운영할 수 있는가"라고 말했다. 이어 그는 "AI 서비스 운영은 트래픽을 얼마나 효과적으로 관리하느냐의 문제로, AI 보안은 거버넌스와 통제 체계를 얼마나 정교하게 갖추느냐의 문제로 각각 옮겨가고 있다"고 설명했다.

AI 에이전트 어떻게 통제할까… 보안 플랫폼 경쟁 시작

이미 글로벌 보안 기업들은 AI 에이전트를 새로운 업무 주체로 보고 대응에 나섰다. 회사마다 전문 분야가 달라 출발점은 각각 다를 수 있지만, 공통적으로 겨냥하는 지점은 결국 비슷한 것으로 분석된다. 기업 안에서 어떤 AI 에이전트가 작동하는지 찾아내고, 어떤 데이터와 도구에 접근할 수 있는지 제한하며, 실행 중 위험한 행동을 차단하고, 이후 감사할 수 있도록 로그를 남기는 것이다.

클라우드·엔드포인트 보안을 아우르는 글로벌 보안 기업 팔로알토네트웍스는 AI 보안 플랫폼 '프리즈마 AIRS 3.0(Prisma AIRS 3.0)'을 앞세워 AI 에이전트 보안 대응에 나서고 있다. 이 플랫폼은 클라우드, 서비스형 소프트웨어(SaaS), 엔드포인트 등 여러 환경에서 실행되는 AI 에이전트와 모델, 연결 구조를 식별하고 위험을 평가한다. AI 레드팀 기능과 AI 에이전트 게이트웨이를 결합해 에이전트의 런타임 보안과 정체성 관리를 지원한다.

팔로알토네트웍스의 차세대 아이덴티티 보안 플랫폼 '이디라(Idira)'도 같은 문제의식에서 나왔다. 이디라는 사람, 머신, AI 에이전트 등 모든 아이덴티티를 찾아내고 통제하는 플랫폼이다. 제로 스탠딩 권한(Zero Standing Privilege·ZSP)과 적시 권한 부여(Just-in-Time Enforcement) 원칙에 따라 필요한 시점에만 권한을 부여하고, 사용 뒤 회수하는 방식을 제시한다. AI 에이전트가 민감 데이터와 시스템에 접근할 수 있는 환경에서는 항상 열려 있는 권한이 곧 위험 요인이 될 수 있기 때문이다.

이메일 보안과 데이터 유출 방지(DLP), 내부자 위험 관리 등 분야에 강점을 가진 사이버 보안 기업 프루프포인트는 앤트로픽의 클로드 컴플라이언스 API(Claude Compliance API)와 자사 플랫폼을 연동해 AI를 통제한다. 이를 통해 클로드 엔터프라이즈와 클로드 플랫폼에서 이뤄지는 프롬프트, 응답, 파일, 활동 로그, 워크플로를 DLP, 내부자 위험 탐지, AI 런타임 보안, 디지털 커뮤니케이션 거버넌스 대상으로 관리한다.

프루프포인트의 특징은 기존 보안 정책을 AI 활동에도 적용한다는 점이다. 기업이 이메일, 클라우드, 엔드포인트, 협업 도구에 적용하던 DLP 정책과 행위 기반 위험 모델을 AI 프롬프트와 응답, 프로젝트, 관리자 활동에도 적용하는 식이다. AI용 보안 체계를 따로 만드는 대신 사람과 AI 활동을 하나의 통제 계층에서 관리하겠다는 구상이다.

네트워크·클라우드 보안 기반의 글로벌 사이버 보안 기업 체크포인트는 'AI 디펜스 플레인(Check Point AI Defense Plane)'이라는 솔루션으로 직원의 AI 사용, AI 애플리케이션, 에이전트 시스템 전반을 보호한다. 승인·비승인 AI 도구 사용 현황을 파악하고, 조직 내 AI 애플리케이션과 에이전트 시스템의 권한을 점검하며, 프롬프트와 추론 경로, 워크플로, 도구 사용, 에이전트 동작을 공격자 관점에서 검증하는 방식이다.

데이비드 하버 체크포인트 AI 보안 부문 부사장은 "이제 AI가 무엇을 말하는지가 아니라 AI가 무엇을 할 수 있는지가 관건"이라며 "조직은 모델 안전 그 이상을 필요로 한다. AI는 실제 환경에서 어떻게 작동하는지에 대한 런타임 제어가 필요하다"고 말했다.

방화벽 전문으로 시작해 통합 사이버 보안 플랫폼 기업으로 거듭난 포티넷은 엔비디아와 함께 기업용 AI 보안 솔루션 '포티AI게이트(FortiAIGate)'를 고도화해 선보이고 있다. 포티AI게이트는 대형언어모델(LLM)의 입출력뿐 아니라 모델 컨텍스트 프로토콜(MCP) 서버, AI 에이전트 등 배후에서 연동되는 요소까지 보호 범위에 넣는다. 이를 통해 프롬프트 인젝션 공격, 데이터 유출, 유해·무단 콘텐츠 생성을 차단하는 런타임 가드레일을 제공한다는 설명이다.

포티넷은 특히 외부 AI 서비스에 민감 데이터를 맡기기 어려운 기업을 겨냥한다. 포티AI게이트는 기업이 자체 데이터센터나 클라우드에서 AI를 운영할 때 LLM 입출력, MCP 서버, AI 에이전트를 함께 보호하도록 지원한다. 의심스러운 프롬프트와 응답을 로그로 남기고, 엔비디아 기반 GPU 가속 보안으로 AI 서비스 지연을 줄이면서 실시간 보호를 제공하는 점을 내세운다.

네트워크를 넘어 보안과 협업 인프라 기업으로 거듭난 시스코도 최근 에이전틱 AI 생태계를 위한 보안 혁신을 발표하며 AI 에이전트를 새로운 형태의 워크포스로 규정했다. 사람 신입 직원처럼 AI 에이전트도 실제 업무에 투입되기 전 아이덴티티를 부여받고, 역할을 이해하며, 책임을 지는 인간 관리자와 연결돼야 한다는 설명이다.

시스코는 '듀오 IAM(Duo IAM)' 확장으로 에이전트에 신원을 부여하고 인간 담당자와 연결하며, '시스코 AI 디펜스: 익스플로러 에디션'으로 배포 전 보안 상태를 시험할 수 있게 했다. 실행 중 보안 통제를 지원하는 도구로 에이전트 런타임 소프트웨어 개발 도구(SDK)와 오픈소스 프레임워크 '디펜스클로(DefenseClaw)' 등을 제시하기도 했다. 권한은 수행 작업에 필요한 범위에서 제한된 시간 동안만 부여하고, 도구 호출은 MCP 게이트웨이를 거치도록 하는 방식이다.

핵심은 권한·행동·데이터 접근 관리

이들 글로벌 보안 기업들의 접근은 조금씩 다르지만, 문제의식은 거의 같은 것으로 분석된다. AI 에이전트가 업무에 쓰이려면 기업은 어떤 AI가 실행 중인지 알아야 하고, 어떤 데이터와 도구에 접근할 수 있는지 제한해야 하며, 실행 내역을 남겨야 한다. 프롬프트와 응답뿐 아니라 API 호출, 토큰 사용량, 에이전트ID, 파일 접근, 워크플로 변경, 사람과 에이전트 간 책임 관계까지 관리해야 한다.

AI 에이전트는 사람처럼 계정을 갖고, 애플리케이션처럼 API를 호출하며, 자동화 도구처럼 작업을 실행한다. 기존 보안 체계에서 따로 관리하던 사람, 머신, 애플리케이션의 영역이 AI 에이전트 안에서 겹치는 셈이다. 기업이 AI 도입 속도만 앞세우기 어려운 이유다.

한 글로벌 보안 업체 관계자는 "AI 에이전트 보안은 단순히 모델의 답변을 검열하는 문제가 아니라 기업 내부에서 새로운 실행 주체를 어떻게 식별하고 통제할 것인가의 문제로 봐야 한다"며 "이제 기업이 AI를 제대로 구축하고 사용하기 위해서는 AI 에이전트를 얼마나 다양한 업무에 빠르게 도입하느냐보다는 권한, 행동, 데이터 접근을 감사 가능한 방식으로 관리할 수 있는지를 깊이 고민해야 할 것"이라고 말했다.

정종길 기자
jk2@chosunbiz.com

Copyright © IT조선. 무단전재 및 재배포 금지.

IT조선에서 직접 확인하세요. 해당 언론사로 이동합니다.